ESET VS WD同样的Antimalware Protected Process Light自我保护技术却并不同

fireherman

B100D1E55 发表于 2017-4-23 21:30
我说的是“主打”啦。ATC有本地模型的，而且会定期重新训练权重并下放到客户端。我这里更多指的是靠简单 ...

说得好！只是希望ESET别误入歧途。

ESET陪我走过10年沧桑，风雨同路，我也喜欢。

Johnkay.Young

学习了。

ELOHIM

B100D1E55 发表于 2017-4-23 21:22
我说的是“主打”。云端计算资源丰富不用过分权衡检出率和性能影响的问题，云端不透明因此不用太担心针对 ...

到头来如果一个恶意软件家族发展起来还是得靠添加特征/重新训练模型/增加规则来跟进而不是拉黑
这段话真心不错。

可是杀毒软件终归跟不上病毒开发的速度，滞后在所难免。
目前来说云鉴定云查杀云防御也是缩短时间差的最好方式了。
360非黑即白的方式必须人工跟进，及时跟进，否则安全软件造成的麻烦比病毒更甚。

初创企业人必杀技：
某某人加盟，某某名词诞生，某某企业风投，某某病毒我们首次发现独家防御等都是屡见不鲜的招式了。

破坏性病毒讲真少很多了。
大数据时代，人人想要的是信息，而不是摧毁式打击。
这导致流氓软件，插件，cookies恶意使用等等可以直接获取终端数据的程序逐年增多。
UAC的出现让黑客和不明真相的小白怨声载道。
绕过UAC的方法遍布大街小巷。
但是微软将其沿用到现行的Windows 10系统必有其不可或缺的理由。
可惜很多人都不适用，转而寻求复杂的单步HIPS和高查杀。
UAC控制的是开始，HIPS和高查杀是控制的中间段到结束。
那么，一款恶意软件想通过暴力方式KILL掉某款HIPS防御是不是太简单了？
KILL不掉蓝屏呗，暴力破坏嘛，无所谓。

而UAC只是让你知道，一个软件即将使用高权限运行了，请小心并做出是否运行的决定。
最高级别的UAC呢，就我目前知道的，还没有听说可以绕过。
洗澡完看你回贴又登录了……感谢大神技术阐述。要早起不回复了。

B100D1E55

ELOHIM 发表于 2017-4-23 22:27
到头来如果一个恶意软件家族发展起来还是得靠添加特征/重新训练模型/增加规则来跟进而不是拉黑
这段话真 ...

反过来想，如果一款杀软本地广谱检测的鲁棒性很好，恶意程序免杀就不得不靠“人肉”来重写部分代码，明暗两者间的速度差距就显著变小了。虽然很多厂商宣称每天会有xxx亿新恶意程序诞生，但去掉简易混淆剩下的大类一定远低于这个数字，因此人工鉴别/添加广谱规则不是不可能。只不过要做到这点需要一个强大的分拣系统先去除大部分噪声。这个过程其实就已经是机器学习了，所以ML根本不是新概念

我个人的理解：操作系统的作用除了合理分配硬件资源外，另一个重要用途就是合理管控程序权限。这点的实现在于提供一个合理的抽象层（syscall等）。
病毒判定本身是一个图灵不可判定的问题，但借助于操作系统提供的抽象层我们就可以通过简单的启发规则来逼近理想状况下的判定。操作系统和安软要做的就是把好这几扇门（例如UAC和行为防御），所以比起从代码本身来判识，API的引入已经大大简化恶意程序的判识了。如何把好这几扇门就仰赖于1）操作系统没有漏洞 2）安软监控全面而合理。
Ransomware之所以横行就在于其本身行为难以被图灵机判别，但相信你也见过一些第三方控权的方案很有效，本质就是因为操作系统抽象层起到了隔离的作用

liangxy

我觉得恶意软件的进步速度比杀毒软件要快得多，所以即使eset不断小步前进，也难免会被病毒超越，除非云

784696777

应该说幸好360等没有用这个？

欧阳宣

B100D1E55 发表于 2017-4-23 21:22
我说的是“主打”。云端计算资源丰富不用过分权衡检出率和性能影响的问题，云端不透明因此不用太担心针对 ...

自动提取的特征鲁棒性差估计是因为鲁棒性强了误报也多了，360BD红伞白名单超级大，也没这么做（虽然不知道是不是也没有这个水平）么不是。也不排除是不是因为自动提取本身算法上过于直白简单，直接混淆后便可绕过的原因

云的少数几个好处无非是检测不会被免杀，收集样本方便（安装时勾选隐私协议后面就不用用户上交了）加拉黑快这几个。拉黑快和特征半衰期长似乎又是不可兼得的两面，还是难啊。BD那种”Trojan.GeneticKD.xxxxxxxx”的特征我听人说就是靠自动化提取出来，检测的覆盖面其实是挺差的，差到以前我们都把它看作是直接拉黑而非一条特征。云主防的规则或者机器写出来的启发规则不够精准，其实我觉得到底还是提取特征的算法差了点。我还是觉得现在很多人要做的事终将会被机器替代的，只是时间问题。

靠机器学习直接提取启发式特征我记得铁壳就在做了，SAPE启发就是这样的，当然估计也不止这一家，效果目前看起来还不错，误报反而是信誉检测出的事最多

驭龙

B100D1E55 发表于 2017-4-23 20:29
很多人没意识到传统引擎能长年保持高检出极低误报已经是个巨大进步了，一些厂商传统路子混不下去了才开始主 ...

看来你跟我一样喜欢本地强一点的安软，哈，感谢支持

B100D1E55

欧阳宣 发表于 2017-4-24 03:14
自动提取的特征鲁棒性差估计是因为鲁棒性强了误报也多了，360BD红伞白名单超级大，也没这么做（虽然不知 ...

文件判识上估计现阶段也就是一些fuzzy hash （ssdeep之类的），或者是一些IoC特征。叫机器自动更新检测模型风险还是太大，一般采用supervised learning，因而需要人工介入。况且用于验证模型的样本本身质量就存疑，毕竟黑白分拣大量样本人工很难做到，只能是一些clustering方法了大概。ATC等非传统特征的更新也类似

shulun743

DoubleAgent？  你有这个样本 吗？能给我一份吗？